Compliance-Lexikon · Risiko
Risk Culture
[rɪsk ˈkʌltʃə] · auch: Risikokultur, Risikobewusstsein, Risikoeinstellung
Risk Culture bezeichnet die kollektiven Einstellungen, Verhaltensweisen und Praktiken einer Organisation in Bezug auf Risikobewusstsein, Risikoberichterstattung und Risikoentscheidungen -- als weicher Faktor, der bestimmt, ob Risikomanagement im Alltag tatsächlich gelebt wird.
Warum Risk Culture ein zentraler Risikobegriff ist
Risk Culture ist ein Kernbestandteil jedes strukturierten Risikomanagements. ISO 27001, NIS-2 und DORA setzen das Konzept als Grundlage für risikobasierte Entscheidungen voraus -- ohne diese Grundlage fehlt dem Sicherheitsprogramm das analytische Fundament. Im Audit wird geprüft, ob Risk Culture nicht nur bekannt, sondern systematisch und dokumentiert angewandt wird.
Wo Risk Culture gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 31000 | Kap. 5.4 | Menschliche und kulturelle Faktoren: Risikokultur als Voraussetzung für wirksames Risikomanagement. |
| NIS-2 / BSIG | § 30 Abs. 2j | Schulungen und Cyber-Hygiene: Kulturelle Massnahmen als Mindestanforderung. |
| DORA | Art. 5 | Leitungsorganverantwortung: Das Leitungsorgan prägt die Risikokultur durch Vorbild. |
| BSI IT-Grundschutz | ORP.3 | Sensibilisierung und Schulung als kulturelle Massnahmen. |
| DCGK | Kap. 4.1.3 | Compliance-Kultur als Leitungsaufgabe -- Vorhaben des Leitungsorgans prägt die Organisationskultur. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Konzept verstanden, aber nicht in einer dokumentierten Methodik verankert
- Inkonsistente Anwendung -- verschiedene Teams bewerten nach unterschiedlichen Masssstäben
- Keine regelmässige Aktualisierung der Bewertungen
- Fehlende Verbindung zum Risikoappetit und zur Massnahmenplanung
Einordnung im Risikomanagement-Gesamtrahmen
Risk Culture ist kein isoliertes Konzept, sondern Teil eines integrierten Risikomanagement-Zyklus: Identifikation, Bewertung, Behandlung, Überwachung. Es greift mit dem Risk Appetite Statement, dem Risikoregister, der Risk Heat Map und dem Risk Reporting ineinander. Wer Risk Culture konsistent und dokumentiert anwendet, stellt sicher, dass alle nachgelagerten Schritte auf einer soliden Grundlage beruhen.
Quantitativ vs. qualitativ
Die meisten Organisationen beginnen mit qualitativer Bewertung und erganzen schrittweise quantitative Elemente für hochprioritäre Risiken. Beide Ansätze sind für ISO 27001 und NIS-2 akzeptiert -- entscheidend ist die Konsistenz der Methodik und die Nachvollziehbarkeit der Bewertungen. DORA empfiehlt für systemrelevante Finanzunternehmen eine zunehmende Quantifizierung.
Nächste Ebene
Risk Culture in der Praxis: Methodik, Umsetzung und Evidence
Was Auditoren bei Risk Culture konkret prüfen und welche Evidence benötigt wird.